Zdravím ve spolek,
procházel jsem snad 4 hodiny toto fórum a hlavně témata odheldně napadených RB.
Svůj RB jsem přes Netinstal přehrál (v 6.42.6), zakázal ip/services vše krom winbox (který jako jediný používám pro správu jen pod jiným portem), změněno heslo a login.
Potřeboval bych nastavit zakázání přístpupu do winboxu a vlastně do všeho z WAN a případně další bezpečnostní řešení aby RB nebyl znovu heknutý a byl zabezpečen.
Můj ISP mi bloknul přístup k netu s poznámkou že není dostatečně zabezpečený.
Berte prosím ohled na samouka a neprofíka. Díky.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Nastavení Mikrotik po zavirování
V services (nebo ve firewallu) lze definovat nejen povolené služby a jejich porty, ale také adresní rozsahy, z nichž mohou být dostupné.
Pokud tam dáte LAN rozsah, mělo by to být v pořádku.
Mirek
Pokud tam dáte LAN rozsah, mělo by to být v pořádku.
Mirek
0 x
Standartně je ještě zapnuto "Allow remote Request" v DNS.
Pokud to necháš zapnuté je potřeba vyřešit otevřený port 53 z internetu ve firewallu.
Jinak omezení Winboxu na rosah lokalních adres určitě nastavit, ale to neznamená že směrem ven do internetu bude port zavřený.
Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
Pokud to necháš zapnuté je potřeba vyřešit otevřený port 53 z internetu ve firewallu.
Jinak omezení Winboxu na rosah lokalních adres určitě nastavit, ale to neznamená že směrem ven do internetu bude port zavřený.
Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
0 x
sutrus píše: Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
Můžeš mi prosím poslat screen kde tam a jak to vypadá? Díky.
0 x
a vysvětlil by mi prosím někdo ještě tyhle pravidla? https://ibb.co/hCPMrK
0 x
lolek píše:sutrus píše: Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
Můžeš mi prosím poslat screen kde tam a jak to vypadá? Díky.
Kód: Vybrat vše
/ip firewall raw
add action=drop chain=prerouting comment="Drop WinBox from WAN" dst-port=8291 in-interface-list=WAN log=yes log-prefix="WinBox !LAN" protocol=tcp
add action=drop chain=prerouting comment="Drop WinBox from WAN" dst-port=8291 in-interface-list=WAN log=yes log-prefix="WinBox !LAN" protocol=udp
/ip firewall filter
add action=reject chain=input comment="Reject DNS from WAN" dst-port=53 protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input comment="Reject DNS from WAN" dst-port=53 protocol=udp reject-with=icmp-port-unreachable
Naposledy upravil(a) sutrus dne 05 Aug 2018 20:41, celkem upraveno 1 x.
0 x
lolek píše:a vysvětlil by mi prosím někdo ještě tyhle pravidla? https://ibb.co/hCPMrK
Co přesně chceš vysvětlit? Toto je základní nastavení firewallu a jednotlivá pravidla jsou popsaná.
0 x
sutrus píše:lolek píše:Toto je základní nastavení firewallu a jednotlivá pravidla jsou popsaná.
Myslel jsem popsat "lajcky" česky.
A ještě jeden dotaz: Nastavil jsem na Winbox jiný port a konkrétiní IP ze které se můžu přihlásit.
Problém je v tom že když se přihlásím přes MAC adresu tak je jedno z které jsem IP a jaký mám port na Winbox.
Jak se to dá vyřešit?
0 x
Nastavením MAC-Server.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
- Dííky.ludvik píše:Nastavením MAC-Server.
Je ještě nějaké další nastavení zabezpečení které tady ještě nepadlo?
0 x